Datenschutz­woche

#Februar 2021

Öffentliche Anhörung des Wirtschaftsausschusses am 24. Februar 2021 zum Entwurf eines Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG)
- BT-Drucksache 19/27441 -
Sachverständiger: Frederick Richter, LL.M

Die Stiftung Datenschutz agiert als Informations- und Kommunikationsplattform zum Datenschutz im nicht-öffentlichen Bereich und zur Datenpolitik. Die Stellungnahme beschränkt sich daher auf diesbezügliche Aspekte und erfolgt angesichts der kurzen Frist thesenartig zusammengefasst:

Notwendigkeit und Zeithorizont nationaler Cookie-Regulierung

Je weniger Regelungen im Datenschutzrecht an verschiedenen Regelungsorten bestehen, desto weniger Rechtsunsicherheiten können in der Praxis auftreten. Von daher ist das Zusammenführen der datenschutzbezogenen Vorschriften aus TKG und TMG im geplanten TTDSG zu begrüßen.

Der Zeitpunkt des Gesetzgebungsverfahrens führt den Zeitraum vor Augen, innerhalb dessen die ePrivacy-Richtlinie von 2009 in einem entscheidenden Punkt nicht formal umgesetzt wurde. Die Umsetzungsfrist ist vor zehn Jahren abgelaufen. Die Verhandlungen für die Nach-folgerin der Richtlinie, nämlich die ePrivacy-Verordnung, beginnen derzeit; der Gültigkeits-zeitraum des TTDSG wird daher begrenzt sein.

Derweil hatten der Europäische Gerichtshof und der Bundesgerichtshof mit ihren Urteilen aus dem Herbst 2019 bzw. dem Sommer 2020 die Rechtslage bezüglich Werbe-Cookies bereits gefestigt. Im Sinne der ePrivacy-Richtlinie bestätigte der BGH, dass für das Verwenden von Cookies zur Erstellung von Nutzerprofilen, für Werbung oder für Marktforschung immer eine Einwilligung erforderlich ist. In die bislang umstrittene Vorschrift des § 15 Abs. 3 Satz 1 TMG hat der BGH dabei eine richtlinienkonforme Auslegung gleichsam hineingelesen. Wenn Verbraucherinnen und Verbraucher nicht einwilligen, dann solle dies als Widerspruch gemäß dem bislang geltenden TMG angesehen werden können. Die Rechtsfolge ist in beiden Fällen die gleiche: Der Werbe-Cookie darf nicht auf dem Endgerät der Person gesetzt werden.

Nunmehr soll durch das TTDSG doch noch eine formale Richtlinienumsetzung und Ablösung der lange strittigen TMG-Vorschrift vorgenommen werden.

Da der weitere Verlauf der europäischen Gesetzgebung in der ePrivacy-Reform schwer absehbar ist, erscheint ein „Warten auf Brüssel“ auch nicht als anzuratende Alternative.

Das Verfahren zur DSGVO dauerte zwischen erstem Entwurf und Verabschiedung insgesamt vier Jahre – das Verfahren zur ePrivacy-Verordnung dauert bereits jetzt, immer noch im Entwurfsstadium, schon vier Jahre, obwohl der schwierige Teil – die Verhandlungen zwischen dem eher datenschutzfreundlichen Parlament und dem Rat der Mitgliedstaaten – gerade erst startet.

Eine strikte Orientierung des Cookie-bezogenen TTDSG-Inhaltes an der weiterhin umzu-setzenden ePrivacy-Richtlinie hätte einerseits den Vorteil eines schlanken Gesetzgebungs-verfahrens zur Erlangung von mehr Einheitlichkeit und mehr Rechtssicherheit. Andererseits würden Chancen nicht genutzt, weitergehende Regelungen zu erwägen, für die Spielräume bestehen – auch angesichts des unklaren Zeitplanes für eine ePrivacy-Verordnung, welche realistischerweise erst in einigen Jahren zur Anwendung kommen wird. Regelungen zu Personal Information Management Services (PIMS) und zu Browser-Voreinstellungen könnten Abhilfe zu der – für Anbieter- wie Verbraucherseite gleichermaßen ärgerlichen – Flut an Einwilligungsanfragen leisten.

Diese buchstäbliche Flut könnte in der kommenden Praxis noch anschwellen, da vom Anwendungsbereich des TTDSG-Entwurfs nicht nur klassische Internetseiten, sondern sämtliche mit dem öffentlichen Internet verbundenen Dienste und Gegenstände umfasst sein sollen.

Regelung zu Intermediären

Die Empfehlungen der Datenethikkommission als auch die Datenstrategie der Bundesregie-rung legen beide großes Augenmerk auf neuartige Ansätze und Strukturen zur Daten-verwaltung, z.B. Instrumente einer Datentreuhänderschaft.

In der im Februar vorgelegten Datenstrategie hat die Bundesregierung erklärt, die Schaffung eines Rechtsrahmens für Personal Information Management Systems/Services (PIMS) prüfen zu wollen. Diese Prüfung scheint – leider – negativ ausgefallen zu sein, denn der vorliegende Entwurf zum TTDSG enthält die im ersten Referentenentwurf vom vergangenen Sommer noch enthaltene Regelung zu PIMS nicht mehr. Grund dürfte der im November 2020 vorgelegte Entwurf zu einem Data Governance Act (DGA) auf EU-Ebene sein, dem man nicht national vorgreifen möchte.

Wenngleich dieses Vorgehen rechtssystematisch und europapolitisch verständlich ist, so lässt sich das Auslassen dahingehender Regelungen datenpolitisch bedauern. Denn PIMS haben großes Potential, die Verbraucherschaft von Einwilligungsanfragen zu entlasten. Bei einem klar nutzerorientierten Aufbau eines PIMS-Konzepts können mit solch neuartigen Werkzeugen Privatsphärenschutz und Datenschutz gleichermaßen gefördert werden. Für Unternehmen kann der PIMS-Ansatz ähnliche Vorteile bieten, wie sie eine Datentreuhandstruktur schaffen kann. Beispielsweise kann der Nachweis erhaltener Einwilligungen erleichtert werden, ohne dass jeder Anbieter digitaler Dienste eigene Consent-Management-Lösungen entwickeln muss.

Im parlamentarischen Verfahren könnte sich eine Wiederaufnahme von Regelungen zu PIMS in den TTDSG-Entwurf – ungeachtet des Fortgangs der DGA-Rechtsetzung – schließlich auf die Begründung der ePrivacy-Richtlinie stützen. Denn im Erwägungsgrund 66 ist ausgeführt, dass die Nutzereinwilligung in optionale Cookies auch mittels „Handhabung einer anderen Anwendung“ ausgedrückt werden könne, wie sie ein Personal Information Management System darstellt.

Als problematisch könnte sich hinsichtlich der Ermächtigung eines PIMS-Assistenten die Vorgabe aus Art. 4 Nr. 11 DSGVO erweisen, wonach eine datenschutzbezogene Einwilligung „für den bestimmten Fall“ zu erteilen sei und daher eine abstrakte Ermächtigung eines digitalen Einwilligungsassistenten nicht möglich sei. Bei einem dahingehend engen Regelungsverständnis sollte die genannte Norm vom europäischen Gesetzgeber geändert werden. Alternativ ließe sich der Anwendungsbereich von PIMS auf das ePrivacy-Recht und auf den Vorgang des Cookie-Setzens beschränken und von einer folgenden, allein nach der DSGVO zu beurteilenden Datenverarbeitung abkoppeln.

Die Bedingungen, unter denen Einwilligungsassistenten eingesetzt werden können, hat die Stiftung Datenschutz bereits 2016/2017 in einer Projektstudie untersucht[1].

Einen konkreten Formulierungsvorschlag zu Diensten zur Einwilligungsverwaltung hat der heutige Sachverständige Prof. Dr. Schwartmann vorgelegt[2].

Browser-Voreinstellungen und Einzelfallentscheidungen

Als Mittel gegen die nutzerseitig kaum zu bewältigende Flut von Einwilligungsanfragen lie-ßen sich in den Entwurf zum TTDSG Regelungen zu Einstellungen im Internet-Browser einfü-gen, wie sie auch die Länder fordern (BR-Drs. 163/21). Auch diese Ergänzung ließe sich auf die Begründung der vorliegend umzusetzenden ePrivacy-Richtlinie stützen (Eg. 66).

Es könnte dazu festgelegt werden, dass individuell eingestellte Nutzerpräferenzen bezüglich des Setzens von Cookies die andauernden entnervenden Anfragen ersetzen würden. Nutzer-seitig ließe sich im Browser dann einstellen, dass sämtliche nicht erforderliche (Werbe-/Tracking-) Cookies abgelehnt werden sollen.

Gegen eine solche Lösung wurde angeführt, dass damit die informationelle Selbstbestimmung der Nutzenden im Einzelfall und zugleicht der Betätigungsfreiheit der Wirtschaft zu sehr eingeschränkt würde, da individuelle Entscheidungen erschwert würden.

So fordert der Bundesrat, dass sicherzustellen sei, dass die Nutzenden für unterschiedliche Internetauftritte im Einzelfall von den generellen Vorgaben im Browser auf einfache Weise abweichen können, ohne die generelle Einstellung ändern zu müssen.

Wenn jedoch zur Betonung solcher Auswahlmöglichkeiten im Einzelfall eine generelle Ausnahme von der Browser-Voreinstellung zugelassen würde, dann könnte die Folge sein,

dass schlimmstenfalls wieder auf nahezu jeder Internetseite Anfrage-Banner dahingehend geschaltet werden, ob die Nutzenden nicht „für das Nutzungserlebnis“ auf dieser Seite doch eine Ausnahme von ihrer vorfestgelegten Browser-Einstellung vornehmen wollen. Dann wäre man wieder beim heutigen Zustand der Anfragenflut angelangt und für die Verbrauche-rinnen und Verbraucher wäre wenig gewonnen. Ähnliches ergab sich, als in der Vergangen-heit die Festlegungen im Rahmen der „Do not track“-Initiative weitgehend ignoriert wurden und zulasten der Nutzerschaft leerliefen.

Will der Gesetzgeber beide Argumentationslinien berücksichtigen, so sollte festgelegt werden, dass in Tracking-bezogenen Browser-Voreinstellungen neben einer Option „keinerlei Tracking/keinerlei für die Diensterbringung nicht erforderliche Cookies“ auch eine Option „kein Tracking; individuelle Tracking-Anfragen zulassen“ vorgesehen wird.

In jedem Fall sollte in Vorgaben zur Ermöglichung nutzergesteuerter Browser-Einstellungen festgelegt werden, dass dieser auch für den Betreiber des Browsers selbst, für die genutzte Plattform und für das genutzte digitale Ökosystem (z.B. App-Store) gilt. Ansonsten könnten faktische Vormachtstellungen wachsen und zu Ungleichheiten im digitalen Markt führen.

Regelung zur Gestaltung von Cookie-Bannern

Art. 5 Abs. 3 der mit dem TTDSG umzusetzenden ePrivacy-Richtlinie gibt den Mitgliedstaaten auf, sicherzustellen, dass die Einwilligung in Cookies „auf der Grundlage klarer und umfas-sender Informationen“ erfolge. Die DSGVO stellt bereits dezidierte Bedingungen auf, wie eine rechtmäßige Einwilligung einzuholen sei. Die Frage, ob über optionale Cookies hin-reichend informiert wurde und ob die Einholung der Einwilligung wirksam erfolgte, beurteilt sich nach den in der DSGVO geregelten Anforderungen. Dennoch sollte geprüft werden, ob in Bezug auf Cookies weitergehende Anforderungen aufgestellt werden können.

Gerade in Bezug auf Einwilligungen in Cookies sind seit einiger Zeit Bemühungen der Anbieterseite feststellbar, die Einwilligungsanfrage im Rahmen sogenannter Consent-Banner mit gestalterischen Tricks so unklar wir möglich zu gestalten. Dabei steht meist einer großen und grün hervorgehobenen „Alles akzeptieren“-Schaltfläche eine kleine hellgrau-auf-weiß gefasste „weitere Einstellungen“-Schaltfläche gegenüber. Hier letztere befinden sich dann erst Optionen zum Ablehnen von Cookies, genauer: Zum Nicht-Erteilen der Einwilligung. Derartige Gestaltungen der Einwilligungsanfrage sollen die Nutzenden zu einer weniger bedachten Einwilligung in sämtliche Cookies verleiten. Genervt durch andauernde Anfragen klicken viele Nutzende zielstrebig auf die grün hervorgehobene „Allem zustimmen“-Schaltfläche.

Denn sie sind schlicht nicht bereit, Zeit mit dem Aufsuchen weiterer Unterseiten des Cookie/Consent-Banners zu verbrauchen. Dieses Vorgehen wird in der Verbraucherforschung Nudging (Stupsen) genannt.Der Erwägungsgrund 66 der ePrivacy-Richtlinie verlangt dagegen, dass die Möglichkeit zum Ablehnen von Cookies „so benutzerfreundlich wie möglich“ auszugestalten sei. Ein Verschleiern von Optionen oder ein Stupsen der Verbraucherschaft hin zu einer womöglich unbedachten Einwilligung ist mit dieser Vorgabe nicht vereinbar.

Das vorliegende Gesetzgebungsverfahren könnte genutzt werden, der Richtlinienvorgabe zur Klarheit aus Anlass des verstärkt auftretenden Nudging angemessen besser zu tragen. Denkbar ist eine Regelung, wonach die gestalterische Darstellung der Informationen, auf deren Basis eine Einwilligung begehrt wird sowie die Darstellung der Handlungsoptionen (Zustimmung/Ablehnung) jeweils so zu erfolgen hat, dass erstere nicht versteckt sind und letztere optisch gleichrangig auf derselben Ebene aufgeführt sind, d. h. nicht voneinander getrennt auf verschiedenen Ebenen/Unterseiten.

Bei einem solchen Regulierungsansatz sollte gleichwohl eine Schlechterstellung nationaler Anbieter gegenüber internationalen Anbietern von Telemedien vermieden werden. Von daher wäre zunächst die Frage zu beantworten, wie effektiv eine ggf. für sämtliche Anbieter geltende Regelung international durchgesetzt werden könnte.

Ermöglichung anonymer und pseudonymer Nutzung

An § 19 Abs. 2 TTDSG-E sollte im parlamentarischen Verfahren festgehalten werden. Eine Identifizierungspflicht ist demgegenüber abzulehnen.

Abgesehen vom sicherlich ganz erheblichen Aufwand wäre eine allgemeine Identifizierungs-pflicht bei allen Telemedien weder mit Zielen einer bürgerrechtsorientierten Digitalpolitik vereinbar noch wäre sie im Ansatz geeignet, Vertrauen in die Digitalwirtschaft zu festigen.

Wenn oft gefordert wird, dass im virtuellen Raum gelten soll, was auch im realen Raum gilt, so passt dieser Vergleich auch umgekehrt: Eine komplette Aufhebung jeglicher Möglichkeit zum unüberwachten Bewegen durch die digitale Umwelt der Telemedien wäre ebenso inakzeptabel wie eine derartige Vorgabe für eine Offline-Umgebung.

Quellen:

[1] Horn/Riechert/Müller, "Neue Wege bei der Einwilligung im Datenschutz – technische, rechtliche und ökonomische Herausforderungen", abrufbar unter: https://stiftungdatenschutz.org/themen/pims-studie/

[2] Schwartmann/Hanloser/Weiß, „PIMS im TTDSG - Vorschlag zur Regelung von Diensten zur Einwilligungsverwaltung im Telekommunikation-Telemedien-Datenschutzgesetz“, S. 5ff. abrufbar unter: https://enid.foundation/wp-content/uploads/2021/03/Schwartmann_Hanloser_Weiss-Kurzgutachten_Dienste_zur_Einwilligungsverwaltung_20210302.pdf

Aufzeichnung der Anhörung von Expertinnen und Experten im Deutschen Bundestag

Der Bundestag hat am Donnerstag, 25. März 2021, in erster Lesung über den von der Bundesregierung vorgelegten Gesetzentwurf zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (19/27441) beraten.

Zur Zusammenfassung auf der Seite des Bundestags.